Virus Informáticos, Caballos de Troya, Gusanos (página 3)

Enviado por Gloria Hern�ndez Barrios

Partes: 1, 2, 3

3.3-Propagación de los Caballos de Troya

Para que un troyano se instale en un PC atacado necesita de la actuación del usuario del PC en cuestión, ya que éste debe ejecutarlo personalmente. La forma habitual es la de enviar el servidor del troyano al PC que se quiere atacar, habitualmente por medio de un e-mail o a través de un intercambio de ficheros vía IRC, ICQ, FTP,… con la intención de que la víctima lo ejecute. Normalmente se utilizan dos formas de engañar al usuario para que ejecute el servidor del troyano en su PC. [Ono]

La primera consiste en enviar el servidor renombrado y con extensión doble, aprovechando la peculiaridad de los sistemas Windows para ocultar las extensiones conocidas (opción por defecto). Es decir, que si se tiene en el PC un fichero "foto.gif", el usuario tan sólo verá "foto". Sin embargo, si el fichero se llamase "foto.gif.gif" (extensión doble) se vería "foto.gif". En este caso la última de las dos es la extensión real del archivo pasando la primera de ellas a formar parte del nombre en sí (archivo de nombre "foto.gif" y extensión ".gif"). [Ono]

Volviendo al tema en cuestión, el servidor del troyano se envía al usuario al que se va a atacar como un archivo renombrado y con extensión doble. Por ejemplo, si el servidor del troyano se llamase "servidor.exe", el atacante lo podría manipular fácilmente para que se llamase "foto.gif.exe", en cuyo caso veríamos en nuestro PC tan sólo "foto.gif". De esta forma, el usuario atacado piensa que el archivo en cuestión es una foto, cuando en realidad es un programa. Ahora solo hay que esperar a que el incauto abra la foto y el troyano se instalará en su PC. Con este método lo que observa el atacado es que le ha sido enviada una foto y que, cuando intenta visualizarla, ésta no se ve. Lo cual es lógico porque el archivo no es en realidad una foto. Este sistema suele venir acompañado de una técnica de ingeniería social que suele diferir poco de este ejemplo resumido:

Bien vía IRC o ICQ, bien vía emilio, se manda el troyano camuflado como un archivo con doble extensión tipo foto.gif, película.avi, sonido.wav, salvapantallas.scr,… etc, pudiendo enviarse, por ejemplo, un archivo fotográfico con cualquier extensión conocida por windows, tal que bmp, jpg, gif, … Lo mismo sucede con los demás tipos de archivos (sonidos wav, mid, mp3,… vídeos avi, mov, mpg,…). O simplemente se envía un archivo tipo "fotos.zip.exe" resultando que a simple vista aparezca "fotos.zip".
El que ha recibido el archivo lo ejecuta y observa que el fichero en cuestión no funciona, por lo que pide explicaciones a la persona que se lo ha mandado.
La persona que lo ha enviado se disculpa alegando un error en el envío, en la transmisión, que se ha corrompido el archivo, que se ha comprimido mal,… y lo vuelve a enviar. Esta vez, la foto, película, sonido, salvapantallas,… en cuestión sí que funciona (el atacante envía esta vez el fichero real) por lo que el "pequeño" problema en la ejecución del primer archivo recibido queda en el olvido del atacado.

La segunda forma de enviar el troyano es más limpia que la primera, ya que el atacado no nota nada raro. Este sistema consiste en adherir el troyano a un fichero real (hay programillas que hacen esto) de forma que se fundan dos ficheros en uno sólo, pero resultando los dos 100% operativos. El fichero resultante se llamará igual que el archivo que no es el troyano (sería de tontos hacerlo al revés). De esta forma cuando el atacado ejecuta el archivo en realidad ejecuta los dos a la vez, pero como el archivo que sirve de "portador" del troyano es completamente funcional, el atacado no nota nada. [Ono]

Ver ejemplo práctico de este sistema. El atacante posee un archivo "sonido.wav" de 200KB y a él le une el "servidor.exe" del troyano de 100KB. El resultante es un archivo "sonido.wav" de unos 300KB, que en realidad está formado por los otros dos ficheros anteriores. Partiendo del hecho que el archivo "sonido.wav" original es efectivamente un sonido, cuando el atacado ejecute el "archivo.wav" de 300KB, portador de un troyano, se oirá el sonido en cuestión, pero además se instalará el troyano (hecho este del que el atacado no es consciente). [Ono]

Una variante de este método, cada vez en mayor uso, es la inclusión del troyano en archivos ejecutables de un supuesto desarrollo reciente. Se ha puesto de moda en foros, chats, tablones de noticias,… la aparición de sujetos que dicen haber desarrollado recientemente tal o cual programa, que siempre resulta muy apetecible, y pide a los internautas que lo prueben para detectar posibles fallos en su funcionamiento, para lo cual el sujeto en cuestión facilita la adquisición del programa, bien sea enviándolo vía emilio o chat, bien sea a través de una página web. Cuando los usuarios (normalmente un gran número de ellos) se hacen con él y lo prueban, descubren que, o bien el programa no funciona, o bien sus prestaciones son ridículas.

Este hecho se notifica al desarrollador del programa, que pide perdón y promete mejorar el producto. A partir de entonces, ya no se vuelve a saber nada más este sujeto y un gran número de PCs han sido infectados con un troyano (o con un virus). [Ono]

Una "subvariante" de este sistema es la de adherir un troyano a una pequeña aplicación ya existente y completamente funcional, que sea habitualmente muy solicitada por los internautas. En este caso, la aplicación original puede perder sus propiedades resultando que a la vista del atacado el programa no funcione. Este es el caso que se ha dado con una herramienta de Micro Trend (desarrolladores del antivirus PC-cillin) especializada en la eliminación del virus Nimda y que fue utilizada por algún desaprensivo para crear una versión gemela que en realidad contenía un troyano. Por este motivo, Enlaces de Seguridad se une a la recomendación de las más importantes casas expertas en seguridad de adquirir el software vía internet desde páginas oficiales o, en su defecto, de sitios de reconocido prestigio. Apurando mucho, incluso de personas de confianza, si bien esto no garantiza que la fuente inicial del software haya sido una fuente fiable. [Ono]

Otro método de envío de un troyano, mucho menos utilizado, consiste en hackear un PC y, por medio de recursos compartidos, meter el troyano en el PC atacado, esperando o bien que en un momento dado dicho archivo sea ejecutado por el usuario infectado o bien instalarlo directamente. En el primer caso (activación por parte del infectado) queda a la imaginación del atacante la forma, nombre del archivo y colocación en una u otra carpeta del PC atacado para asegurarse la ejecución del troyano por parte del infectado. Usualmente se prodece a sustituir un fichero ejecutable del PC atacado por el troyano renombrado como aquél, esperando que tarde o temprano el usuario ejecute ese fichero. En este caso, se notaría que esa aplicación (ahora troyano) que tantas veces hemos ejecutado, misteriosamente ha dejado de funcionar.

Aunque es posible que la sustitución se haya realizado reemplazando el archivo original por otro similar pero con el troyano adherido y, por lo tanto, por un archivo también funcional. Esta técnica requiere de bastantes conocimientos informáticos por parte del atacante, del conocimiento de la IP del PC atacado por parte del agresor, del nivel de privilegios que logre alcanzar y de una serie de características en la configuración de dicho PC que la hacen bastante complicada de llevar a cabo si no se es un experto, por lo que es un sistema relativamente poco utilizado, si nos basamos en las estadísticas. [Ono]

3.4-Antivirus para los troyanos

Las soluciones: si se trata de un troyano conocido cualquier antivirus será capaz de localizarlo, pero por si acaso explicare la forma manual que es efectiva con casi todos los troyanos: hay que abrir el registro de Windows para ello vamos a Inicio/Ejecutar y tecleamos regedit. Una vez ejecutado abrimos las siguientes ramas de registro HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion y observamos las carpetas: Run y RunServices en ellas se encuentran todos los nombres y localizaciones de los programas que se ejecutan al arrancar Windows es probable que tengáis varias y no por eso tenéis troyanos solo debéis quitar el que sepáis seguro que es un troyano, para ello deberéis utilizar otros programas que podéis encontrar por la red como el The Cleaner o parecidos que buscan en tu ordenador cientos de troyanos y si encuentran alguno te avisan, para deshacerte de ellos fíjate en el nombre del fichero que diga el programa y quita esa llave del registro de Windows, de esta forma ya no se ejecutará al arrancar pero seguiréis teniendo el fichero servidor para eliminarlo debéis hacerlo desde MSDOS porque están preparados para que no se puedan borrar. [Duiops]

Los síntomas: probablemente nadie necesita estar pasando el anti-troyanos cada semana, pero lo que si que conviene es saber algunas cosas para poder descubrir su existencia. Estos programas solo pueden hacer que entre gente a tu ordenador mientras que estas conectado a Internet, uno de los síntomas mas claros es la aparición de ventanas con textos que no vienen a cuento o la apertura y cierre del lector de CDS, tened en cuenta que la persona que entra controla mas cosas que tu te puede poner ventanas, abrirte programas, formatearte el disco duro, cortarte la conexión, incluso algunos troyanos permiten verte si tienes una webcam. Por eso si te das cuenta que de repente baja la velocidad de tu conexión y te aparecen extraños mensajes en la pantalla, busca a ver si se trata de un troyano y limpiarlo cuanto antes. [Duiops]

Claro está que muchas de estas acciones pueden ser debidas a otros motivos (problemas con la conexión de Internet, tareas trabajando en segundo plano, algún problema de hardware o software,…) así que tampoco conviene ponerse nervioso y achacarlas a un troyano directamente si algunas de ellas se muestran en nuestro PC. [Ono]

Básicamente la desinfección consiste en la eliminación física del troyano. Hay que eliminar los ficheros y/o carpetas que ha creado el troyano, sus entradas de registro y las líneas añadidas en los archivos de sistema. Esta tarea la realizan los antivirus y antitroyanos, ya sean genéricos o estén especializados en un troyano en concreto. Existen utilidades diseñadas para eliminar uno o unos pocos troyanos en concreto como el Back Orifice, el NetBus, el SubSeven,… de la misma forma que existen utilidades para la eliminación de un virus en concreto. [Ono]

También es posible la eliminación de un troyano manualmente. No existe un método genérico para hacerlo ya que cada troyano tiene unas características propias. Sin embargo se suelen seguir tres pasos en la eliminación manual de todo troyano:

Eliminación de las entradas de registro del troyano y líneas de comando en los ficheros de sistema.
Reinicialización del sistema.
Eliminación de ejecutables y librerías.

En las entradas de registro y ficheros de sistema modificados por los troyanos se hace referencia a todos los archivos pertenecientes al troyano, tanto el servidor como las librerías dependientes de él, y a sus ubicaciones en el disco duro de nuestro ordenador. Se recomienda realizar la limpieza del registro y ficheros de sistema (paso 1) tras inicializar Windows en modo A PRUEBA DE FALLOS, de esta forma se limitará la carga de programas en el proceso de arranque del sistema operativo. Tras la eliminación de estos elementos y el reinicio del sistema (paso 2), que se aconseja se realice esta vez en modo MS-DOS y evitar así la carga de windows y, por lo tanto, una posible activación del troyano, pasaremos a eliminar los ficheros del troyano (paso 3), los cuales deberíamos encontrar en las ubicaciones señaladas en el registro de Windows, por lo que se aconseja haberlos copiado previamente en un papel ya que a veces las ubicaciones pueden llegar a ser difíciles de recordar, e incluso podría resultar que el troyano constara de bastantes archivos, resultando igualmente difícil memorizarlos. [Ono]

¿Que por qué hay que reiniciar el ordenador antes de efectuar la eliminación del ejecutable y las librerías? Pues porque si el troyano está activo, lo cual es normal al tratarse de un programa residente en memoria, windows no permitirá su eliminación ya que avisará de que es un programa actualmente en uso. Por lo cual primeramente habrá que desactivarlo y después pasar a su eliminación. [Ono]

Excepcionalmente la eliminación de un troyano puede resultar especialmente dificultosa (como en algunos casos con el SubSeven) y es frecuente recurrir al uso del cliente del propio troyano para lograr su eliminación, ya que una de las opciones que pueden presentar los troyanos es la de auto eliminarse (remove). [Ono]

Lo normal es acudir a algún sitio WEB y hacerse con las instrucciones de eliminación de tal o cual troyano en particular, o usar un buscador Web para encontrar un manual apropiado. [Ono]

Para algunos troyanos concretos existen herramientas que actúan sobre el servidor del troyano que nos capacitan para enviar información falsa de la PC al cliente del troyano e incluso obtener información de él, aprovechando un "agujero" en la capacidad de estos troyanos de poder ser editados on-line. Curiosa situación teniendo en cuenta que la mayoría de los troyanos se aprovechan precisamente de agujeros de los sistemas informáticos. Alguna otra herramienta permite supuestamente incluso convertir el cliente del troyano en servidor y así poder contraatacar. [Ono]

Ejemplo de eliminación manual de un troyano: Borremos el NetSphere

Véase, por ejemplo, cómo se desinfecta el troyano NetSphere. Para se debe conocer con anterioridad las características propias de este troyano respecto a su integración en nuestro sistema operativo. Veamos cuales son:

Servidor por defecto: nssx.exe, que se instala en windows/system

Entradas de registro:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

Puertos por defecto: 30100, 30101 y 30102 con conexión TCP.

Se puede apreciar que éste es un troyano de instalación básica. Sólo tiene una entrada de registro y no ha modificado archivos de sistema como el win.ini, system.ini, etc. Además, tan sólo consta de un archivo (nssx.exe). No debería dar mayores complicaciones. Ahora aplicar los tres pasos de la limpieza.

1. Eliminación de las entradas de registro del troyano.

Primero reiniciar el sistema en modo A PRUEBA DE FALLOS y se realizará la limpieza de las entradas de registro que ha manipulado el troyano. En este caso se trata tan sólo de una entrada de registro típica, la del campo RUN. Para ello abrir el Regedit de Windows (inicio-ejecutar-regedit) y en el campo de la izquierda ir abriendo menús hasta situarse en el lugar donde se instala este troyano:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

Y se desplegarán en el campo de la derecha una serie de entradas de registro. Una de ellas la ha metido el troyano para hacer referencia a su archivo servidor NSSX.EXE. Se muestra además la ubicación de ese archivo en el disco duro (CWINDOWSsystemnssx.exe). Seleccionar esa entrada de registro para situarse encima de "nssx.exe" y la eliminar, bien con la tecla SUPR, bien con la opción Edición-eliminar.

Fig.9

2. Reinicialización del sistema.

Eliminada la estrada de registro, cerrar el Regedit y apagaremos el PC, pasando a reiniciarlo (en modo DOS para mayor precaución).

3. Eliminación del ejecutable (servidor del troyano).

Una vez reiniciado el sistema ir a Windowssystem usando el comando "CD c:windowssystem" y borrar el archivo nssx.exe usando el comando "del nssx.exe".

El troyano NetSphere ha sido eliminado del ordenador.

Hay que apuntar que hay troyanos que tienen, entre muchas de sus habilidades, la de impedir la inutilización del Regedit, por lo que si en alguna ocasión se encuentra en esta circunstancia, podría tratarse de un troyano. [Ono]

Capítulo IV: Gusanos.

4.1-¿Qué son los gusanos?

Un gusano es un programa que hace copia de si mismo, por ejemplo, de una unidad de disco a otra, y que puede enviar estas copias utilizando correos electrónicos o cualquier otro mecanismo de transporte. [JRV04]

Otras fuentes definen un gusano como un código maligno cuya principal misión es reenviarse a si mismo. Por ello, los gusanos son códigos víricos que, en principio, no afectan la información de los sistemas que contagian, aunque si consumen amplios recursos de los mismos y los utilizan como lanzaderas para infectar a otros equipos. [MSS,EMP]

Son programas malignos que funcionan en los sistemas informáticos y se propagan rápidamente a través de las redes de comunicaciones. Estos códigos ejecutables hacen gran uso de los recursos de la red, por lo que a veces provocan bloqueos o descensos en su velocidad de funcionamiento. [GUADIS*]

4.2-Daños ocasionados por los Gusanos.

El mayor efecto de los actuales gusanos es su capacidad para saturar e incluso bloquear por exceso de tráfico a los sitios Web. Incluso si están adecuadamente protegidos por un antivirus actualizado. Y precisamente cuando tienen protección aumenta la sobrecarga, debido a los procesos necesarios para analizar e intentar la eliminación de una cascada de correos en los que se detecta la infección [MSS]

Salvo algunos sistemas especializados de protección, los antivirus convencionales intentarán eliminar la parte vírica y dejar el resto; que en general no es nada útil, sino la simple pantalla bajo la que se oculta el gusano. Pero esto conlleva más trabajo que simplemente eliminar un mensaje, cuya única "información" es… un gusano.

En caso de mensajes salientes, también algunos sistemas cuentan con optimización, ya que son capaces de analizar y eliminar, o incluso destruir totalmente, un grupo de correos de una sola operación. Así, por ejemplo, el clásico mensaje de gusano, que se envía a toda la libreta de direcciones del sistema infectado, no necesitará ser procesado de forma individual, tantas veces como remitentes, sino que será analizado una sola vez, detectado como un envío múltiple y eliminado en su núcleo, en lugar de hacerlo sobre las copias individuales. [MSS]

El objetivo de los gusanos no es modificar otros programas o destruir información. Su objetivo básico es reproducirse y alcanzar el máximo de distribución entre los equipos de la red. Como máximo, los gusanos tienden a replicarse en tal medida que saturan los recursos de las computadoras, provocando un ataque "por denegación de servicio (caída del sistema)". No obstante, algunos gusanos pueden incluir como parte de su código algún virus informático, bomba lógica, troyano o puerta trasera, que actúe sobre los equipos en los que se logren establecer. [EMP]

4.3-Los gusanos y La Ingeniería Social. [GUADIS04]

En los últimos dos años los Gusanos informáticos han encabezado mes tras mes las listas de los reportes de afectaciones por Programas Malignos (PM), y muestra de ello es la gráfica de los más propagados durante el 2003 según la empresa antivirus británica SOPHOS.

Fig. 3: Gráfico de los 10 PM más reportados en el 2003 según SOPHOS

Las estadísticas reportadas por la compañía MessgeLabs incluye a varios de ellos entre los mas diseminados históricamente, los que a su vez forman el elenco de las cepas o familias causantes de perdidas económicas por valores superiores a millar de millones "billón" de usd: Mydoom, Sobig, Netsky, Klez, Mimail, Letin, Swen, LoveLetter, Bugbear, Dumaru, Code Red, Sircam, Melissa y ExplorerZip.

Fig. 4 Gráfico de los PM más propagados en la historia desde su fecha de detección

Estas cifras no son de extrañar si se tiene en consideración que como promedio, la caída de una red de PCs puede costar a una corporación unos 10 000 dólares o más por horas, mientras que para las compañías financieras y de Comercio Electrónico estos miles pueden convertirse fácilmente en millones.

Por su parte, la empresa Trend Micro estimo que los ataques por programas malignos costaron 55 000 millones de dólares a nivel global en el 2003, cifra superior a los 30 000 millones del 2002 y los 13 000 millones del 2001. Por si fuera poco, MYDOOM.A, reportado en el mes de enero del 2004, en pocos días se convirtió en el más dañino de todos.

Las estadísticas también señalan que cerca del 99 % de los incidentes causados por códigos maliciosos son originados por el usuario al ejecutar un archivo anexo a un mensaje recibido por e-mail o al no tener actualizados los parches correspondientes a las vulnerabilidades detectadas en el Sistema Operativo y las Aplicaciones que utiliza. Las técnicas mas utilizadas por los creadores de gusanos, para lograr altos niveles de propagación de sus engendros, son precisamente la explotación de esas vulnerabilidades y lo que se ha dado en llamar Ingeniería Social, muy empleada en el caso de los que viajan por medio del correo electrónico.

La ingeniería social no es más que la habilidad de aprovecharse del comportamiento humano para abrir brechas de seguridad y lograr que la propia víctima sea la que actúe aún cuando esté consciente del riesgo potencial de su acción. En el caso de los correos electrónicos se manifiesta por medio de la creatividad en el uso del Asunto, Cuerpo del mensaje, Nombre del Anexo y el Remitente, herramientas con que cuenta el creador para timar al receptor. Luego solo queda esperar el resultado.

La Fig. 5, resume características de los mensajes utilizados por varios de los gusanos más conocidos

Fig. 5

4.3.1. Asunto y Cuerpo

¿Texto sugerente, verdad? La mayoría escritos en idioma inglés. El LOVELETTER, técnicamente sencillo, tuvo éxito a partir de la buena dosis de ingeniería social empleada, pues muchos usuarios no pudieron evitar la tentación de abrir la "carta de amor" que prometió el nombre del anexo, entre ellos no faltaron los administradores de redes de computadoras. ¡Ni que decir de KLEZ.H,SWEN.A y MIMAIL.A!

El primero presentó al anexo como la solución técnica más efectiva para contrarrestar al KLEZ.E, el segundo simuló ser enviado por varios servicios de Microsoft, como MS Technical Assistance y Microsoft Internet Security Section e incluso existió una versión en HTML que aparentó una página oficial de Microsoft y solicitó al usuario la instalación del "importante parche" en el archivo adjunto. El último aparentó ser enviado por el administrador de servicio de correo electrónico y orientó ejecutar el anexo para resolver el problema de la expiración de la cuenta de correo, indicación contenida en el texto del mensaje.

4.3.2. Anexo

Al fijarse en los Adjuntos, independientemente de los insinuantes nombres, se aprecia la doble extensión, trampa utilizada para disfrazar la verdadera extensión ejecutable. La primera de ellas, que no corresponde a un ejecutable, es la que el usuario considera como válida, pero es la segunda la realmente peligrosa.

Es posible realizar una pequeña demostración con ayuda del explorador de Windows: renombrar el archivo correspondiente a la Calculadora (calc.exe), que se encuentra en la carpeta Windows o de Sistema (Windows System o System 32, según la versión de Sistema Operativo) como calc.txt.exe. Seguidamente dar doble clic sobre él y se verá que se ejecuta, es decir, la doble extensión no afecta su comportamiento. Incluso en Windows 98, por defecto, el explorador solo muestra el nombre y la primera extensión. Algunos gusanos van más allá, pues la doble extensión se combina con caracteres en blanco, ejemplo:

files.htm .pif, y resulta más efectivo el engaño.

El creador de SIRCAM empleó un truco más sofisticado. Cuando el usuario receptor del mensaje ejecutó el anexo, lo que observó en la pantalla fue la ventana correspondiente a la aplicación que se encontraba enlazada al tipo de archivo correspondiente a la primera de las extensiones. Por ejemplo, en el caso de un archivo .txt.exe fue el Libro de Notas (notepad.exe), pues es la aplicación por defecto, relacionada implícitamente con los ficheros .txt. Lo que no supo el usuario fue que de manera oculta se ejecutó el código del gusano. ¿Por qué sucedió así? Esto se debió a que el programa maligno, una vez ejecutado en la PC, tomó un archivo del disco y lo adicionó a su código, es decir, creó un único fichero que los contuvo a ambos y que anexó al mensaje por el creado: Esta unión fue realizada de forma tal que al ser ejecutado el anexo, el gusano tomaba el control, copiaba hacia el disco el archivo robado e intentaba su apertura. La divulgación del contenido de este último lo convirtió en un peligro potencial para la confidencialidad de la información almacenada en las PCs, pues esta pudo ser conocida por todas las personas que ejecutaron el anexo.

4.3.3. Remitente

Otro detalle que no debe olvidarse por su importancia: los supuestos remitentes de los mensajes se encuentran en la mayoría de los casos ajenos a esta situación. Los gusanos una vez instalados en las PCs obtienen direcciones de correo de las libretas de direcciones y otros archivos en los discos: *.WAB, *.DBX, *HTM, *.HTML, *.EML, *.TXT, con dos fines fundamentales, uno utilizarlas como direcciones de destinos y el otro como direcciones de origen.

Sobran los ejemplos de mensajes portadores de gusanos que son recibidos desde personas conocidas. El NAVIDAD.B o EMMANUEL, muy "popular" hace unos años, tuvo la osadía de responder a mensajes no leídos de la Bandeja de Entrada, (Inbox) de los clientes de correo, que contenía anexos, utilizando como dirección de destino aquellas que venían en el propio mensaje, mientras que mantuvo el Asunto y Cuerpo. Engaño total, pues los receptores ejecutaron con confianza el anexo recibido.

Sin embargo, existen otras variantes muy exitosas y es la de los "remitentes reconocidos". Este método fue visto inicialmente en nuestro país en el año 1999, a partir de los mensajes creados y enviados por el FIX 2001. En este caso el receptor recibió un mensaje con el mismo dominio de su cuenta de correo y la cadena "Admin." Delante del carácter "@". Por ejemplo, si el gusano instalado en una PC, detectaba en un mensaje era enviado a , creaba otro con dirección de origen Admin. , el texto que hacía referencia al anexo y lo enviaba al destinatario. Del otro lado, el usuario Manolo recibía el mensaje, supuestamente del administrador de la red de la empresa y no dudaba en darle el control al adjunto. SWEN, es un ejemplo más actualizado.

4.3.4. Algo más

Unido a los ardides antes expuestos, varios de ellos aprovecharon la oportunidad de propagarse por las redes, fundamentalmente a carpetas compartidas, pues sus creadores conocen que hay usuarios tan confiados que comparten discos enteros con todos los permisos. Aquí se cumple que aunque Usted sea un usuario celoso en el uso de las medidas de seguridad para trabajar con el correo, pero comete el error de compartir carpetas con derechos de escritura, y otro compañero del centro de trabajo ejecuta un adjunto con el gusano, su PC también puede ser afectada.

Además gusanos como el KLEZ y BUGBEAR, también se valen de una vulnerabilidad "I-Frame" de los clientes de correo Outlook Express y Microsoft Outlook para ejecutar sus códigos cuando los mensajes son abiertos, es decir, no necesitan que el usuario ejecute el anexo, por lo que aquellos que tengan actividad la Vista Previa estarán expuestos a sufrir este problema

Su efectividad está más que demostrada…ocho de los 10 gusanos más reportados en 2003 y el 100% de los más propagados en la historia, la utilizaron. Indudablemente no hay casualidad.

Medidas a tomar para contrarrestarlos.

No ejecutar anexos que no se hayan solicitado, sin previa comprobación con el remitente.
En el caso de necesitar enviar un anexo, una vez revisado con un antivirus actualizado, especificar características como nombre, extensión y tamaño.

Fig.6
Desactivar la opción Vista Previa en el cliente de correo. Por ejemplo, en Outlook Express 6 seleccione la opción Ver del menú principal, seguidamente Diseño y dentro de la ventana Propiedades de distribución de ventanas desactivar la opción Mostrar panel de vista previa.
Fig.7
Es posible leer el contenido del mensaje sin abrirlo, siempre que la opción Vista Previa este deshabilitada.
Evitar el envío de mensajes con formato HTML, no solo porque diminuye en tamaño algo que ayuda en la economía, sino por evitar el envío de códigos maliciosos.
Solicitar a los remitentes que envíen los mensajes en texto plano, siempre que sea posible.

Activar las protecciones estándares del cliente de correo.
Activar las protecciones estándares del navegador de Internet.

Fig.8

En la actualidad los creadores de estos programas dedican tiempo a la ingeniería social, no por gusto les dan tanta importancia, y ejemplo de ello es el hecho de que conociendo que en la actualidad los administradores de redes han establecido como política no permitir la entrada de mensajes con anexos ejecutables en una empresa, aunque si ficheros comprimidos. ZIP, las nuevas variantes de gusanos se está transmitiendo en anexos de este tipo y logra éxito, de lo que son las familias MYDOOM, MYDOOWN o NETSKY y BAGLE buenos ejemplos. Y esto es posible a pesar de que los usuarios tienen que descomprimir los anexos para ejecutar su contenido.

Utilizar de manera segura los servicio que brinda la tecnología disponible, es la mejor opción, pero consiente de que el punto mas vulnerable de un sistema de seguridad es precisamente el factor humano. [GUADIS04]

4.4-Propagación de los Gusanos.

A diferencia de la mayoría de los virus, los gusanos se propagan por sí mismos, sin modificar u ocultarse bajo otros programas. Así mismo, y por su propia definición, no destruyen información, al menos de forma directa. Pero claro, estas definiciones se aplican a los gusanos como tales; algunos códigos de malware son principalmente gusanos, pero pueden contener otras propiedades características de los virus. El mayor efecto de los actuales gusanos es su capacidad para saturar e incluso bloquear por exceso de tráfico a los sitios Web. Incluso si están adecuadamente protegidos por un antivirus actualizado. Y precisamente cuando tienen protección aumenta la sobrecarga, debido a los procesos necesarios para analizar e intentar la eliminación de una cascada de correos en los que se detecta la infección. [MSS]

La gran capacidad de propagación de este tipo de código malicioso y, por otra, la gran facilidad con que pueden ser creados. De hecho, hasta hace poco tiempo, proliferaban en Internet varias herramientas que permitían confeccionar un código malicioso de este tipo sin necesidad de tener amplios conocimiento en cuanto a técnicas de propagación. Precisamente, utilizando una de esas herramientas un adolescente holandés creó el gusano Kournikova que provocó una de las mayores epidemias conocidas hasta ahora. La mayoría de los gusanos informáticos se propagan utilizando el correo electrónico. Lo más habitual es que lleguen incluidos en un archivo adjunto a un e-mail. Si el usuario ejecuta dicho fichero, el gusano se envía a los contactos que se encuentran almacenados en la libreta de direcciones del cliente de correo electrónico o a direcciones que pueda encontrar en otras aplicaciones o archivos. Sin embargo, a medida que los usuarios se han ido familiarizando con esta manera de proceder, cada vez se hace más difícil conseguir que el virus se propague de forma masiva. Por ello, los creadores de virus han ido introduciendo modificaciones encaminadas a conseguir esto último. Como resultado, en el momento actual pueden distinguirse varios tipos de gusanos atendiendo a su forma de propagación: [Adelaflor]

– Gusanos que utilizan la "Ingeniería Social" o técnicas que tratan de engañar al usuario para conseguir que ejecuten el archivo que contiene el código malicioso. Sin duda, LoveLetter es el mejor representante de este tipo de virus que, con una frase tan simple como "I Love You", fue capaz de atacar cientos de miles de ordenadores de todo el mundo. Se trata de una técnica muy utilizada, ya que, por desgracia, aun se muestra muy efectiva. [Adelaflor]

– Gusanos que se envían utilizando su propio motor SMTP. Esto permite que el código malicioso pueda reenviarse de forma oculta para el usuario y sin dejar rastros de sus acciones. Pueden emplear tanto el servidor SMTP que el propietario del equipo utilice habitualmente como alguno predeterminado por el creador del gusano. Como ejemplo de este tipo de virus se encuentra Lentin.L que, sin depender del cliente de correo, se envía a todas las entradas de la libreta de direcciones de Windows, MSN Messenger, .NET Messenger, Yahoo Pager, y a las direcciones de correo que localiza en el interior de todos los archivos con extensión HTM que se encuentren en el equipo. [Adelaflor]

– Gusanos que aprovechan vulnerabilidades del software de uso habitual. Están diseñados para utilizar agujeros de seguridad descubiertos en programas cuya utilización se encuentre muy extendida, tales como clientes de correo electrónico, navegadores de Internet, etc. De esta manera, pueden realizar acciones muy diversas, si bien la más peligrosa es la posibilidad de ejecutarse de forma automática.

En este apartado podrían citarse a los gusanos Nimda y Klez.I, los cuales aprovechan una vulnerabilidad del navegador Internet Explorer para auto ejecutarse simplemente con la vista previa del mensaje de correo electrónico en el que llegan al equipo. Otros gusanos pueden utilizar vulnerabilidades en servidores. Así, CodeRed, ataca servidores IIS mientras que Slammer hace lo propio con servidores SQL. [Adelaflor]

Los gusanos suelen propagarse por sí mismos, sin modificar u ocultarse bajo otros programas. Por ende, no destruyen información, al menos de forma directa. Pero claro, esto solamente se aplica a los gusanos como tales; algunos códigos de malware (programas o códigos dañinos, ya sea por destrucción de datos o por consumir recursos del sistema) son principalmente gusanos, pero pueden contener otras propiedades características de los virus. [EMP]

Los gusanos, o worms, son programas independientes capaces de auto replicarse. Los gusanos se desarrollan y actúan en entornos de red, y se dedican a reproducirse y viajar entre las distintos equipos de la misma y su nombre probablemente provenga del hecho de que "se arrastran" por la red viajando de una computadora a otra. [EMP]

Al contrario de lo que ocurre con los virus informáticos (en el sentido estricto, son programas que tienen la capacidad de copiarse a sí mismos y de modificar el código de programas para infectarlos), los gusanos son programas completos que pueden funcionar por sí solos, y que por tanto no necesitan afectar el código de otros programas para replicarse y, su presencia y permanencia se basa normalmente en errores (fallas) o debilidades (vulnerabilidades) de los protocolos de red o de los programas incluidos en los sistemas operativos que los utilizan. Es decir, los gusanos tienen por finalidad copiarse así mismos tantas veces hasta saturar la memoria del sistema. [EMP]

Los Gusanos o Worms se difunden a través de programas de gestión de correo electrónico como el Outlook u Outlook Express, o aplicaciones de "Chat" como el IRC o el ICQ y, su denominación tiene su origen en una novela de ciencia-ficción (The Shockwave Rider – John Brunner, 1975), en la que el protagonista se enfrenta al totalitarismo introduciendo en su red de comunicaciones un programa llamado tapeworm. Esta obra en sí, hace referencia a programas capaces de viajar por sí mismos a través de redes de cómputo para realizar cualquier actividad una vez alcanzada una máquina; aunque esta actividad no tiene porqué entrañar peligro, los gusanos pueden instalar en el sistema alcanzado algún tipo de código maligno, atacar a este sistema como haría un intruso (hacking), o simplemente consumir excesivas cantidades de ancho de banda en la red afectada. [EMP]

Varios tipos de gusanos y su forma de propagación:

1.- Gusanos de correo electrónico: Suelen propagarse a través de los mensajes valiéndose de la utilización de ciertos programas clientes, reenviándose automáticamente a los contactos de la libreta de direcciones. Algunos de los gusanos más recientes (SirCam, Nimda, Klez, BugBear), pueden incluso, llegar a enviarse a cualquier dirección de correo que encuentren en caché, con lo cual, si en una página visitada se ha incluido una dirección de correo, puede ser utilizada por el gusano, al tener éste la capacidad de rastrearlas. [EMP]

2.- Gusanos de IRC: Estos se propagan a través de canales de IRC (Chat), empleando habitualmente para ello al mIRC y al Pirch. En este apartado cabe recomendar tener precaución con las transferencias que uno acepte. [EMP]

3.- Gusanos de VBS (Visual Basic Script): Son gusanos escritos o creados en Visual Basic Script y para su prevención es importante considerar la sugerencia de hacer visibles todas las extensiones en nuestro sistema (para poder identificar y rechazar los archivos que vengan con doble extensión, como es el caso de anexos de correos infectados por SirCam). [EMP]

4.- Gusanos de Windows 32: Son Gusanos que se propagan a través de las API (Application Program Interface o Application Programming Interface) de Windows, las cuales son funciones pertenecientes a un determinado protocolo de Internet. Las API corresponden al método específico prescrito por un sistema operativo o por cualquier otra aplicación de aplicación mediante el cual un programador que escribe una aplicación puede hacer solicitudes al sistema operativo o a otra aplicación. [EMP]

Finalmente, cabe mencionar que gusanos como el Nimda, tienen capacidad para colocar su código en una página Web, propagando la infección con el simple hecho de que uno la visite sin la protección adecuada (un buen antivirus bien configurado y debidamente actualizado). Para que esto sea factible, este gusano aprovecha una falla de seguridad del navegador Internet Explorer (misma que ya ha sido resuelta por Microsoft), en sus versiones anteriores a la 6.0, lo cual le permite accionarse automáticamente al entrar a la página infectada o al ver el mensaje de correo. [EMP]

4.5-Principales antivirus de los Gusanos. [GUADIS*]

Es necesario tomar medidas de Seguridad Informática y que los usuarios de la informática conozcan del problema.

No ejecutar anexos, que no se hayan solicitado, sin previa comprobación con el remitente. En el caso de que se necesite enviar un anexo, una vez que se haya revisado con un antivirus actualizado, especificar características como nombre, extensión y tamaño. Desactivar la opción de "Vista previa" en el cliente de correo electrónico. Es posible leer el contenido del mensaje sin abrirlo, siempre que la opción de "Vista previa" esté deshabilitada.

Evitar el envío de mensajes con formato de HTML, no solo porque el mensaje disminuye en tamaño, algo que ayuda a la economía, sino porque se evita el envío de código malicioso. Hacerlo en texto plano. Solicite a los remitentes que envíen los mensajes en texto plano, siempre que sea posible.

Activar las protecciones estándares del cliente de correo.

Activar las protecciones estándares del navegador de Internet.

Activar las protecciones estándares del MS-Office.

Revisar vulnerabilidades e instalar, siempre que sea posible, los parches de seguridad correspondientes. Utilizar filtros de correo electrónico, que no sólo revisan los correos buscando códigos malignos sino que posibilitan establecer políticas de seguridad por las características de los mensajes. Se ha convertido en un problema el envío de advertencias, que realizan los filtros de correo a los supuestos emisores de códigos malignos, así como a los receptores, creando confusión en los primeros pues generalmente sus PCs no se encuentran comprometidas. Es preferible no activar esta opción y en el caso de las empresas, las advertencias deben ser enviadas al Responsable de Seguridad Informática y/o al administrador de la red.

No bajar la guardia, en la actualidad los creadores de estos programas dedican tiempo a la ingeniería social y no por gusto le dan tanta importancia.

Por lo tanto, no dejarse engañar, utilizar de manera segura los servicios que nos brinda la tecnología disponible, pero estar conscientes de que el punto más vulnerable en un sistema de seguridad es precisamente el factor humano, nosotros, y es ahí hacia donde se dirige este ataque.

A la hora de los gusanos atacar a una PC, como se produce esa afectación es decir como se evidencia que te infecto la máquina.

Esto es un poco más complicado. Los que se envían por correo alteran registros del Sistema para ejecutar los ficheros que copian en el disco, generalmente una imagen del propio gusano, y así garantizar su ejecución cada vez que el Sistema se inicie. Es decir, vas a ver nuevos ficheros en el disco, modificaciones en los registros y procesos desconocidos ejecutando en memoria.

En muchas ocasiones, dado que intentan el envío masivo de mensajes, el administrador de correo puede detectar el envío desmedido de mensajes desde su PC. Puede ser que el gusano presente errores en su código que provoquen que la PC trabaje más lentamente o se bloquee.

En ocasiones colocan mensajes en pantalla, pero no es lo normal porque la idea es pasar inadvertidos.

De los internacionales el Kaspersky Antivirus es para Cuba el mejor. Lo venimos siguiendo desde 1989 o 1990 aproximadamente. Es el que más formato de ficheros reconoce, por lo que en ocasiones se considera más lento.

Además, es en muchas ocasiones el primero en detectar nuevas técnicas de propagación, incluso es el mas reconocido por los creadores de programas malignos. En Cuba se utilizan bastante el Norton Antivirus, el de McAfee y algunos el Panda, que es español. [GUADIS*]

Capítulo V. Novedades de los virus

5.1- Nestky, el virus del año [@5]

Según un informe de la empresa Sophos, el ranking de los códigos maliciosos más difundidos durante 2004 estuvo encabezado por Netsky-P, con un 22,6% del total, seguido de cerca por el gusano Zafi-B, con un 19%. El tercer lugar fue para Sasser, un gusano que aprovecha vulnerabilidades de Windows, con el 14%.

Entre diciembre de 2003 y noviembre de 2004 se detectaron 10.724 nuevos códigos maliciosos -entre virus, gusanos y troyanos-, lo que representa un aumento del 52%, si se tienen en cuenta los números del año pasado. Se calcula que actualmente circulan un total de 97.000 virus por la red.

El virus Netsky apareció por primera vez en febrero y con el correr del tiempo sufrió al menos 30 mutaciones. La versión Netsky-P fue vista por primera vez en marzo.

Según los expertos de Sophos, el hecho de que los virus Netsky y Safi-B tengan varios meses de existencia y aún continúen infectando máquinas indica la falta de prevención, en especial de los usuarios finales.

Para Sophos, la distribución masiva que siguen teniendo estos códigos maliciosos demuestran que existe una gran proporción de usuarios que no se molestan en actualizar su antivirus periódicamente.

Curiosamente, dos de los tres virus más difundidos del año, Netsky y Sasser, fueron creados por una misma persona, Svan Jaschan. El joven alemán está en custodia de la policía de su país, y se espera que sea llevado a juicio a principios de 2005. Paradójicamente, aunque su autor este detenido, los códigos que escribió siguen siendo los que más circulan por Internet, aún 8 meses después de haber sido reportados.

Sophos espera que el número de virus se mantenga relativamente estable el año próximo, aunque es probable que los creadores de códigos maliciosos desarrollen nuevas tácticas para obtener réditos económicos de sus "criaturas". Los expertos confían que esta ambición de ganancias hará que cada vez más se tienda a juzgar y encarcelar a los autores de virus en diversas partes del mundo.

Como era previsible, los 10 códigos maliciosos más difundidos atacan exclusivamente a los usuarios de Windows. El trabajo de Sophos prevé que esta tendencia no cambiará.

Por otro lado, el informe anual de la empresa cubre otros incidentes relacionados con la seguridad. Por ejemplo, Sophos advierte sobre la profundización del phishing, y sobre la aparición de nuevas técnicas en este sentido. En especial, alerta sobre un nuevo tipo de phishing que no está basado en cartas engañosas, sino en troyanos que se instalan en la PC y recogen la información de las transacciones electrónicas.

Finalmente, sobre el tema del spam, el informe concluye que los arrestos de spammers alrededor del mundo son importantes, aunque considera que –lejos de disminuir- el problema tenderá a aumentar.

5.2- Famosos infectados en la red.[@6]

El uso de nombres de personajes conocidos es un recurso muy empleado por autores de virus informáticos para difundir sus creaciones.

Aprovechando el impacto mundial provocado por la agonía y muerte del dirigente palestino Yasser Arafat, un gusano informático circula actualmente por la red en e-mails masivos que llevan como asunto la inquietante frase "Latest News about Arafat" (Últimas noticias sobre Arafat).

Dicho mail adjunta dos archivos. Uno de ellos es un fichero auténtico de imagen mostrando una escena de los funerales del político recientemente fallecido. Sin embargo, el otro archivo contiene un código diseñado para aprovechar una vulnerabilidad del navegador Internet Explorer. A través de esta, se instala automáticamente en el equipo el gusano Aler. A

Asimismo se han detectado mensajes en algunos grupos que anuncian noticias como la captura del terrorista Bin Laden (¨Osama Bin Ladin was found hanged¨), ¨Osama Bin Ladin fue encontrado ahorcado¨, el supuesto suicidio de Arnold Schwarzenegger o la aparición de fotografías íntimas del futbolista David Beckham.

Estos mensajes suelen incluir links desde los –supuestamente- se pueden descargar archivos con información sobre dichos sucesos que, en realidad, contienen algún tipo de virus.

En estos casos, sin embargo, no se trata de mensajes generados por el propio gusano, sino por el propio usuario malicioso. El peligro de esta táctica se debe a que, de esta manera, puede propagarse todo tipo de malware, desde gusanos hasta virus altamente destructivos, pasando por spyware, dialers, etc.

Según los expertos, todo estos son ejemplos de las llamadas técnicas de ¨Ingeniería Social¨ para propagar los virus informáticos, y que básicamente consiste en introducir un texto en el cuerpo del e-mail, afirmando que el fichero que se acaba de recibir contiene algo atractivo, como puede ser una aplicación, fotografías, etc.

En el caso de que dicho texto consiga engañar al usuario, éste lo ejecutará de forma que el virus se instalará en el sistema y realizará sus acciones maliciosas.

Según el gerente general de Panda Software-Chile, Luis Valenzuela, la elección del nombre a utilizar depende, principalmente, de la actualidad informativa para lograr un mayor efecto.

Y recuerda que uno de los virus que más rápida y masivamente consiguió propagarse fue SST, conocido popularmente como Kournikova. Como reclamo, los e-mails en que este gusano llegaba a las computadoras afirmaban contener fotos muy sugerentes de la popular jugadora de tenis.

También artistas de moda, como Jennifer López, Shakira o Britney Spears, han servido como reclamo de virus informáticos como Loveletter.CN. MyLife.M o Chick.

Los nombres de los famosos no solamente son utilizados por códigos maliciosos que se propagan por correo electrónico, sino también, en muchas ocasiones, por otros diseñados para distribuirse a través de redes de intercambio de archivos P2P(peer to peer), como Kazaa.

Para ello, suelen realizar un gran número de copias de sí mismos, en los directorios donde se almacenan los archivos compartidos que usan este tipo de aplicaciones, con nombres que simulan videos musicales o pornográficos relacionados con algún personaje de moda.

Según Valenzuela ¨lo más conveniente es estar siempre en guardia con este tipo de mensajes, sea cual sea su procedencia o contenido, ya que lo más probable es que lo que tengamos enfrente sea un virus informático.

ANEXOS

ANEXO 1

Virus Melissa

Virus I Love You

CONCLUSIONES

Los ataques informáticos se están convirtiendo en un problema de impredecibles consecuencias económicas para las empresas de todo el mundo y las de Cuba como caso especifico.Los virus, cada vez mas sofisticados y dañinos, están aprovechando las facilidades que presenta Internet y los fallos de seguridad de algunos programas informáticos para infectar a un gran número de ordenadores en todo el mundo.

Internacionalmente y en Cuba, se cuenta con Ingenieros y Especialistas en esta rama con un alto nivel de profesionalidad .Que trabajan arduamente para prevenir y contrarrestar los daños que pudieran ocasionar estos "intrusos" al invadir la PC.

Con la realización de este Trabajo Referativo se amplió los conocimientos sobre Virus Informáticos, específicamente, de los Gusanos Informáticos y Caballos de Troya. Evidenciándose solamente la punta del iceberg del problema. Además destacar, la gran importancia que tiene este tema para la humanidad y su necesidad de difusión, con el objetivo de prevenir catástrofes en el futuro.

Para finalizar se puede añadir que se ha cumplido con todos los objetivos trazados en la creación de este Trabajo, esperando que sea utilizado como material informativo y de consulta para todas aquellas personas interesadas en el tema.

GLOSARIO

PM: Programa Maligno
PC: Acrónimo de Personal Computer.Se utiliza para designar los ordenadores o computadoras personales.
IRC: Siglas de Internet Relay Chat, sistema de comunicación que permiten que un conjunto de usuario de Internet se conecten a un mismo servidor y mantengan un dialogo escrito en tiempo real.
IP: Internet Protocol, Protocolo de Internet. Es el soporte lógico básico empleado para controlar este sistema de redes.
HTML: Acrónimo de Hyper Text Markup Lenguage, Lenguaje de Marcas de Hipertexto .En informática, formato estándar de los documentos que circulan en (WWW).
WWW: World Wide Web.Tambien conocido como Web. Mecanismo proveedor de información el electrónica, para usuarios conectados a Internet.
ISP: Internet Service Provider, proveedor de acceso a Internet.
TCP: Acrónimo de Transmission Control Protocol, Protocolo de Control de Transmisiones.
DOS: Disk Operating System, Sistema Operativo de Disco .Termino genérico que describe cualquier sistema operativo cargado desde dispositivos de disco al iniciar o reinicializar el sistema.
CD: Disco compacto, sistema de almacenamiento masivo de información.
MS-DOS: Acrónimo de Microsoft Disk Operating System, Sistemas Operativos de Disco de Microsoft. Supervisa las operaciones de entradas y salida del disco y controla el adaptador de video, el teclado y muchas funciones internas, relacionadas con la ejecución de programas y el mantenimiento de archivos.
SMTP: Simple Mail Transfer Protocol, Protocolo Simple de Transferencia de Correos .Protocolo mas usado en Internet para el envío de mensajes de correos electrónicos.
SQL: Sstructured Query Language, Lenguaje estructurado de interrogante.

BIOS: Basic Input Output System, Sistema Básico de entrada -salida
API: Application Program

Application Programing Interface} Programa de Aplicación de Interfaces.

Hacking: Piratería Informática.
CPU: Central Processing Unit, Unidad Central de Procesamiento.
HD: Hard Disk, Disco Duro.

BIBLIOGRAFÍA

[ALF 04] Hernández Martín, Alfonso. "El cuartel general de la lucha

antivirus". PC-World. Reportaje Pág. 59-60. Edición 208. Abril 2004. España.

[GAB 00] Goncalvez, Gabriela. Virus Informáticos. Abril 2000.

https://www.monografías.com/estudiovirus/estudio virus.shtml

21/10/04 3:00pm

[VIL 04] Villuendas, Carlos E."Virus Informáticos". Ponencia en Centro

LACETEL Investigación y Desarrollo. Julio 2004. Ciudad

de la Habana.

[MAN 97] Manson, Marcelo. "¿Cómo nacieron los virus

informáticos?" 1997. Lucas Marco/Sinex. SA.

http.www.monografías.com/trabajos/estudiosvirus/estudiovirus.shtml.

2 de octubre del 2004

[Pan-Soft] "Evolución de los virus informáticos". Nota de prensa. Artículo

reproducido por Panda Software 29/10/2004

www.pandasoftware.es/…/vernoticia.aspx.?noticias=5264&ver=18&pagina=4&numprod=&entorno=-38k-

[Belt] "Los ataques informáticos en España subieron un 42% el

año pasado". Noticias profesionales. Reportaje.

www.belt.es/noticias/2003/03-enero/20-24/23/23.ataquesinformaticos.htm

29/10/2004

[Segurmática] "Seguridad de las tecnologías de la información y protección

contra programas malignos". Proyecto de investigación de Segurmática. CUJAE. Art 97paginas. 4/11/2004

[Manson] Manson, Marcelo. "¿Cómo nacieron los virus

informáticos?" 1997. Lucas Morea/ Sinex. SA. Art 16 paginas.

www.monografias.com/trabajos/estudiovirus/estudiovirus.shtml.

22/10/2004

[Vsantivirus] "Alerta falsa sobre supuesto virus cubano". Artículo.

www.vsantivirus.com/hoaxvirus-libertad.htm.

Publicado en Marzo 2004. Edición No.1368. 3 paginas. 1/11/2004 2:00pm

[Moreno] Moreno Pérez, Arnaldo. "Virus en el futuro". Art. 3 paginas. 3/11/2004 3:00pm

http://alerta-antivirus.redes/virus/ver-pag.html?temas=v&articulo=6&pagina=8

[Urzai] Iñaki, Urzai. (Director técnico de Panda Software). "Los virus

del pasado y del futuro". Art. 5 paginas de 4-5. 25/10/2004 11:00am

www.windowstimag.com/atrasados/2004/87-mail04/articulos/firma-3.asp

[Mandrake] "Análisis sobre los Troyanos. Caballos de Troya en nuestra Pc".

www.venezolano.web.ve/archivos/175.analisis_sobre_los_virus_

[Prieto03]Prieto, Beatriz."¿Como atacan los virus informáticos?". Art. Redactado. 22/04/2004.New York.

[Bustamante]Bustamante, Pedro. "La amenaza de los últimos Caballos de Troya. Publicado en el Boletín del Criptonomicon No. 28.Panda Software.

www.iec.csic.es/criptonomicon/articulos/virushtml

[Duiops] "Troyanos". Artículos.

www.duiops.net/hacking/index.html

23/11/2004 2:30pm

[Jaime] Fernandez Gomez, Jaime (Colaborador de J-World)."Los nuevos Caballos de Troya".

www.idg.es/iworld/enportada.asp

[Ono] http://webs.ono.com/usr026/agika2/2troyanos/troyanos2.htm

[JRV04]Rodríguez Vega, Jorge E. "El gusano del juicio final". Revista PC-World. Edición 207. Marzo 2004. España.

[Adelaflor] "Los gusanos informáticos y su propagación".

www.adelaflor.com/seguridad/gusanos.htm. 3:00pm .25/10/2004

[MSS] "Gusanos informáticos" .

http://mssimplex.com/gusanos.htm. 2:05pm

[EMP] www.emprendedoras.com/article402.htm. 2:30pm

[@1] www.symatec.com/region/mx/avcenter.

[@2] www.cnn.com/2000/tech/computing/05/04/iloveyou.03

[@3] http://packetstorm.security.com/viral-db-love-letter-source.txt

[@4] http://icantuf.na.export.pl/pliki/libworm.tgz.

[GUADIS*] Guadis Salazar, Edgar. "¿Que es un virus?". Entrevista realizada por Gloria Hernández Barrios al Ingeniero Informático el 9/11/2004 a las 10:30am.

[GUADIS99] Guadis Salazar, Edgar. "Para evitarlos, conocerlos". Revista Giga. Edición No. 3. Art. Paginas 28-35.1999. Cuba.

[GUADIS04] Guadis Salazar, Edgar. "Los gusanos y la Ingeniería Social". Revista Giga. Edición No. 2. Paginas 26-29. Art. 2004. Cuba

[@5]

[@6] http://www.noticiasdot.com/publicaciones/2004/1204/1012/noticias101204/noticias10102004-2.htm